如何绕过Duo的双因素身份验证

写在前面的话

通常,在执行渗透测试时,一般通过远程桌面协议(RDP)连接到系统。我通常使用rdesktop或xfreerdp连接到主机,一旦获得凭据就可以为所欲为了。我最近碰到一件很操蛋的事就是一个我的客户端使用Duo保护对Windows上的RDP的访问。特别是当3389是唯一打开端口,上次发生这种情况时,我在Pen Test Partners上找到了Alex Lomas的一篇文章,详细的介绍了用来绕过这种情况的方法。

这些攻击方法是有效的,前提是目标已经将它们的Duo配置为“fail open”。这实际上很常见,因为它默认设置为关闭。

在这篇文章我将通过两种方式演示如何绕过:

1.假设:您可以在系统上获得shell将使用本地bypass

2.假设:您无法访问系统将使用网络攻击。

本地bypass

关于如何获得shell的方法。我通常使用CrackMapExec + Metasploit或wmiexec.py,但有很多选择。通过不需要2FA的方法进入目标后,运行下面命令:ipconfig /displaydns

我通常会把它导入到一个文件中,以防它体积太大,然后需要解析它并以找到Duo API DNS条目。每个Duo安装都会有一个与之对话的不同API端点。

如果由于某种原因DNS缓存中没有内容,则可能需要身份验证。如果一定要这样做,请避免使用您知道已注册Duo的帐户,因为这可能会向其手机发送推送消息,短信或电子邮件。下一步是编辑系统上的hosts文件。这需要管理员访问。

继续并备份原始主机文件。完成后,修改当前主机文件。可以通过将单个条目附加到Duo API端点映射到localhost来完成。现在,如果Duo设置为”fail open”,您现在可以使用用户名和密码进入系统。完成后恢复hosts文件。

网络bypass

如果您没有管理员凭据或SMB/WMI/etc,则可以使用中间人(MITM)攻击来访问Duo API。要执行这个操作,可以使用Bettercap。我们将使用它执行ARP欺骗攻击和DNS欺骗攻击。第一步是执行ARP欺骗。目标需要设置为我们试图访问的IP。Bettercap会欺骗主机相信我们是默认网关。要执行此攻击,攻击者必须与受害者位于同一广播域中。安装运行Bettercap后,输入:

>set arp.spoof.targets [VICTIM IP]
>arp.spoof on

Bettercap将自动启用转发功能。注意:您必须以root身份运行Bettercap才能启用转发:

在ARP欺骗工作之后,您将需要执行DNS欺骗。在Bettercap中输入:

>set dns.spoof.domains *.duosecurity.com
>dns.spoof on

这将修改对Duo security子域的DNS查询。它将使用攻击者的IP地址进行响应。

在运行中,攻击者现在可以通过RDP登录系统,而无需使用2FA。登录后,退出Bettercap。Bettercap将重新ARP欺骗目标,但可能需要几分钟才能进入DNS条目。

*参考来源n00py,由周大涛编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大内老A

深入剖析ASP.NET的编译原理之二:预编译(Precompilation)

在本篇文章的第一部分:深入剖析ASP.NET的编译原理之一:动态编译(Dynamical Compilation),详细讨论了ASP.NET如何进行动态编译的,...

25860
来自专栏Timhbw博客

分享下平时我在windows平台下开发用的一些比较好的软件-WinSCP(四)

2016-03-1116:47:00 发表评论 722℃热度 WinSCP 它是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协...

31370
来自专栏圣杰的专栏

IdentityServer4 知多少

现在的应用开发层出不穷,基于浏览器的网页应用,基于微信的公众号、小程序,基于IOS、Android的App,基于Windows系统的桌面应用和UWP应用等等,这...

32220
来自专栏北京马哥教育

chkconfig命令详细介绍

命令介绍: chkconfig命令用来更新、查询、修改不同运行级上的系统服务。比如安装了httpd服务,并且把启动的脚本放在了/etc/rc.d/init.d目...

40180
来自专栏程序员的SOD蜜

CentOS 7 安装Mono 和 MonoDevelop

【原文来自:http://www.linuxidc.com/Linux/2015-01/112350.htm】 好几年前安装过mono,后来一直没有再用过。最近...

457100
来自专栏魏艾斯博客www.vpsss.net

军哥 lnmp1.4 测试版一键脚本安装及功能体验

18850
来自专栏Golang语言社区

Linux服务器最最基本安全策略

1、Linux SSH 安全策略一:关闭无关端口 网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,...

63790
来自专栏FreeBuf

基于Python的远程管理工具(RAT) – Stitch

Stitch是一款基于Python的跨平台远程管理工具。由于其跨平台性,Stitch允许用户针对Windows, Mac OSX 或 Linux分别定制不同的p...

32550
来自专栏大内老A

深入剖析ASP.NET的编译原理之二:预编译(Precompilation)

在本篇文章的第一部分:深入剖析ASP.NET的编译原理之一:动态编译(Dynamical Compilation),详细讨论了ASP.NET如何进行动态编译的,...

20670
来自专栏小轻论坛

神秘的C盘里面装了什么?能不能删?

相信大家刚刚接触电脑时,都会被提醒“你可千万别动C盘!”点开一看,密密麻麻的文件夹让人不知所云,也听说过删除C盘文件出现过各种问题的事情,当然,还有很多文件是你...

63310

扫码关注云+社区

领取腾讯云代金券